GrapheneOS ve Adli Veri Çıkarma (2024)

(discuss.grapheneos.org)

2 puan yazan GN⁺ 2025-09-12 | Henüz yorum yok. | WhatsApp'ta paylaş

GrapheneOS, yüksek güvenlik ve gizlilik seviyesiyle öne çıkıyor ve iOS ile yarışan bir düzeyde
2024 Mayıs'ta sosyal medyada GrapheneOS'un veri çıkarmaya karşı savunmasız olduğu yönünde asılsız bir saldırı ortaya çıktı
Cellebrite gibi adli bilişim araçları çoğu Android/iOS cihazında rıza dışı çıkarım yapabilirken, GrapheneOS güncel güvenlik yamaları uygulandığında aşılamıyor
Consent-based veri çıkarımı, kullanıcının kendi cihazının kilidini açtığı durumdur; çıkarım yalnızca bu durumda mümkündür
Pixel 6 ve sonrası ile GrapheneOS birleşimi, parola brute-force saldırıları ve USB bağlantısı üzerinden yapılan hack girişimleri dahil modern saldırıları engeller

GrapheneOS'a genel bakış ve sosyal medya saldırısının arka planı

GrapheneOS, Android tabanlı, açık kaynaklı, güvenlik ve gizlilik odaklı bir işletim sistemidir; iOS seviyesinde hatta daha da yüksek koruma sağlayabilir
2024 Mayıs'ta, sosyal medyada GrapheneOS'un adli bilişim araçları tarafından aşıldığı yönünde bir yanlış algı oluşturmaya çalışan bir saldırı yaşandı
Gerçekte bu, kullanıcı rızasına (consent) dayalı bir veri çıkarımı örneğinin kötü niyetli biçimde çarpıtılması ve GrapheneOS'un savunmasızmış gibi yanlış aktarılmasıydı

Dijital adli bilişim, elektronik delillerin toplanması ve analiz edilmesi sürecidir
Bu süreçte bilgisayarlar, akıllı telefonlar ve depolama ortamları gibi çeşitli cihazlardan suç delili veya hukuki uyuşmazlıklarla ilgili veriler çıkarılır ve incelenir
Ancak adli bilişim teknolojileri, mahremiyet ihlali, misilleme veya delil manipülasyonu için kötüye kullanılabilir
GrapheneOS, rıza dışı veri çıkarımını ve cihaz kurcalanmasını önlemek amacıyla çeşitli güvenlik önlemleri geliştiriyor

Cellebrite, İsrail merkezli önde gelen bir dijital adli bilişim şirketidir; UFED (Universal Forensic Extraction Device) aracıyla tanınır
Ekipmanlarını hükümetlere ve adli kurumlara yasal olarak satsa da, otoriter rejimlere ve insan haklarını bastıran ülkelere de satış yapmaktadır
Bu araçla dünyanın birçok bölgesinde akıllı telefonlardan veri çıkarma girişimleri yapılmaktadır

Dijital adli bilişimin ilk adımı, mobil cihazdan veri çıkarımıdır
Cihaz kilitliyse, parola/PIN tahmini için çeşitli yöntemler (hackleme, brute-force) denenir
Akıllı telefonların iki durumu vardır:
- BFU (Before First Unlock): Açılıştan sonra henüz hiç kilit açılmamış durum; iç veriler tam şifreli olduğundan adli analiz çok zordur
- AFU (After First Unlock): Kilit açıldıktan sonraki durum; anahtarlar bellekte tutulduğundan veri erişimi görece daha kolaydır

AFU durumu: Yazılım açıkları vb. kullanılarak atlatma ya da ekran kilidini kaldırma sonrası veri çıkarımı denenir
BFU durumu: PIN/parolayı brute-force (tüm kombinasyonları deneme) ile bulmaya çalışırlar

2024 Nisan'ında yayımlanan materyallere göre GrapheneOS hariç tüm Android markaları AFU veya BFU durumundan bağımsız olarak hacklenip verileri çıkarılabiliyor
En yeni iOS cihazları için de kısmi destek bulunuyor; çoğu iPhone kullanıcısı güncel yamaları otomatik aldığı için risk azalıyor
NSO (Pegasus'un geliştiricisi), iOS'un en güncel sürümlerindeki açıkları çok hızlı istismar etmiş örneklere sahip
GrapheneOS, 2022 sonundan bu yana güvenlik güncellemeleri uygulanmışsa Cellebrite tarafından bile hacklenemediğini resmen kabul ettirdi
Güncellemeler varsayılan olarak otomatik etkin olduğundan, kullanıcıların büyük bölümü en güncel güvenlik düzeyini korur
Ancak kullanıcı cihazın kilidini kendisi açarsa (consent-based), iOS, Android ve GrapheneOS'ta veri çıkarımı mümkündür
- GrapheneOS'ta geliştirici seçenekleri ve adb aracı kullanılarak tüm verilere erişilebilir
Pixel 6 ve sonrası + GrapheneOS kombinasyonu, rastgele 6 haneli PIN kombinasyonlarını bile brute-force ile kırılamaz hale getirir

2024 Mayıs'ta sosyal medyada, GrapheneOS'ta consent-based çıkarımın başarıldığı bir örnek üzerinden güvenlik açığı varmış gibi asılsız iddialar yayıldı
Geçmişte de Signal şifrelemesinin kırıldığı söylentisi gibi benzer yanlış örnekler görüldü (gerçekte kullanıcı uygulamayı kendisi açıp adli incelemeye sunmuştu)

Kullanıcı cihazı kilitliyken (ekran kilidi vb.), yeni USB bağlantılarını engelleme ve donanım seviyesinde port kapatma özelliği sunar
BFU, AFU ve tam kilit açılmış durum gibi çeşitli senaryolarda, kullanıcının istediği seviyeye kadar USB'yi tamamen devre dışı bırakma ayarı yapılabilir
2024 itibarıyla Pixel firmware'ine kadar güvenlik güçlendirilmiştir

Pixel 6 ve üzeri cihazlarda Titan M2 (donanım güvenlik modülü) bulunur ve şifreleme anahtarlarını korur
5 yanlış girişten sonra 30 saniye bekleme, 30 ve 140 denemeyi aşınca bekleme süresinin artması, sonrasında günde yalnızca 1 girişe izin verilmesi (secure element throttling)
AVA_VAN.5 seviyesinde bağımsız değerlendirmeden geçerek çok yüksek güvenlik düzeyini kanıtlamıştır
iOS, Samsung ve Qualcomm güvenlik modülleri kurumsal saldırganlarca zaten aşılmış olsa da, GrapheneOS + Pixel 6 ve üzeri kombinasyonunda son yıllarda başarılı bir örnek yoktur

Varsayılan 18 saatlik ayar (10 dakika ile özel olarak değiştirilebilir) dolduğunda otomatik yeniden başlatılır; kullanılmadığında cihaz BFU durumuna döner
Bu nedenle bir saldırgan exploit geliştirse bile gerçek saldırı penceresi (kullanıcının kilidi açmasından yeniden başlatmaya kadar) sınırlı kalır

GrapheneOS ekibi, çeşitli güvenlik güçlendirmelerini ve otomatik güvenlik özelliklerini sürekli geliştiriyor
Gelecekte parmak izi + PIN ile iki aşamalı doğrulama, rastgele passphrase için otomatik UI gibi daha güçlü ve kullanışlı korumalar eklenmesi planlanıyor
Gelişmiş saldırı gruplarının bile aşamadığı bir durumda yanlış bilgi yayılmaya çalışılsa da, buna karşı savunma ancak olgulara dayalı bilgiyle mümkündür